Con más de 2.000 millones de usuarios, WhatsApp es la plataforma de mensajería más utilizada. Pese a que maneja grandes cantidades de información personal, WhatsApp se ha saltado por alto un fallo que permite a los hackers anular tu cuenta simplemente concomiendo tu número de teléfono. Gracias a dos estudiantes de Alicante, la aplicación ha podido trabajar para solventar el problema.
“Estaba trabajando en mi TFM sobre datos de WhatsApp y causalmente di con una página que explica cómo recuperar tu cuenta en caso de robo”. Así es como Luis Márquez, estudiante de Ciencia de Datos de Alicante junto a su compañero, Ernesto Canales, comenzaron a sospechar sobre la vulnerabilidad del sistema.
Lo que ninguno de los dos se imaginaba era lo que finalmente iban a descubrir: un fallo de ciberseguridad que podría afectar a cualquiera de los 2.000 millones de usuarios y que les podría provocar la pérdida de su cuenta para siempre. En ese momento, tampoco se esperaban que su descubrimiento les convirtiera en los protagonistas de un artículo en la prestigiosa revista Forbes.
El primer fallo: la verificación por SMS
El problema viene dado por dos fallos distintos. En primer lugar, el sistema de verificación mediante SMS. “El atacante tiene tu número, lo introduce, pero los SMS de verificación te llegan a ti”, explica Márquez. La víctima recibe un mensaje con un código de 6 dígitos con el que acceder a la cuenta. Para el usuario, este mensaje pasa desapercibido. Lo más probable es que al recibir un mensaje no habrá dado importancia y lo ignora. Al atacante no le hará falta ni siquiera el código, pues la intención no es entrar en tu WhatsApp, sino bloquearte la cuenta.
De este modo, repite este paso en varias ocasiones cada 12 horas, ya que este es el tiempo de espera que determina la aplicación. Cada vez que introduce tu número y la solicitud de verificación, recibes un SMS. Ya son varios mensajes, así que empiezas a sospechar. La cuestión es que no puedes hacer nada con estos mensajes.
Además, “no solo limita al atacante, también al de la víctima”, sostiene Márquez. La víctima, al tener la sesión abierta, no percibiría nada. En caso de que la hubiera cerrado, no podría volver a entrar, pues durante esas 12 horas el acceso se bloquea. El fallo de este sistema de verificación es que “si se limita por tercera vez 12 horas, te quedarás sin WhatsApp para siempre”, alerta Márquez.
Tras el tercer intento, ya no aparece la ventana que indica que “quedan 12 horas”. En su lugar, te encuentras con “Quedan 1 segundos”. Tal y como afirma Márquez, “es un mensaje de error que te deja la cuenta bloqueada permanentemente”.
El segundo problema: cuenta perdida / robada
El segundo error permite al hacker expulsarte de tu sesión, aunque esté abierta en tu teléfono. «Incluso aunque tengas la verificación en dos pasos», aclara Márquez. Esto, junto al bloqueo de acceso mediante exceso de solicitudes de SMS de verificación, hará que no puedas volver a entrar nunca más.
El atacante manda un mail al soporte de WhatsApp, support@whatsapp.com, comunicando que ha perdido móvil. Selecciona la opción de “cuenta perdida / robada”. El correo electrónico de respuesta le da la opción a desactivar el número. El atacante incluye tu número. A continuación, WhatsApp envía una respuesta automática solicitando el número nuevamente. Finalmente, el atacante cumple y la sesión en el móvil de la víctima se borra. En el móvil aparece un mensaje que dice: «Su número de teléfono ya no está registrado con WhatsApp en este teléfono».
Si la cuenta no se hubiera bloqueado, se podría volver a registrar nuevamente. Sin embargo, “no puedes verificarte porque ya han utilizado todos los intentos permitidos”. Al ingresar tu número para registrarte, pide un código de verificación, pero el mensaje no llega. No puede solicitar un nuevo código. Intentas ingresar el código del SMS que recibiste con anterioridad cuando el atacante estaba en el paso uno. Esto ya no funciona, está atascado.
Para mayor protección, sería necesaria una identificación mediante correo electrónico, por ejemplo, para poder denunciar el robo del móvil y eliminar la cuenta. En cambio, el proceso no asocia ninguna cuenta”, cuenta el estudiante que descubrió el fallo.
La rectificación de WhatsApp
Canales y Márquez habían demostrado que con tan solo el número de teléfono pueden expulsarte de la sesión y bloquearte la cuenta para siempre. Contactaron con WhatsApp para informarles de la vulnerabilidad de su sistema. “Les escribimos cuatro o cinco correos y nos ignoraron o contestaron con mensajes predeterminados”, lamenta Márquez. A diferencia que la aplicación, Forbes atendió su petición y mediaron con la empresa. “WhatsApp ha arreglado el problema, pero no nos han contestado ni dicho nada”, explica Márquez.
“Me quedo con ganas de probar alguna otra aplicación porque la forma que tienen de validarte por SMS siempre me parece un poco vulnerable”, concluye Márquez. Gracias a estos estudiantes, ahora se exige el correo, si tienes la verificación en dos pasos. Así, tienen una forma de comprobar la identidad del propietario del correo.